SafeBreach称检测到一种新的FUD powershell后门

SafeBreach在10月18日称其近期检测到一种新的完全不可检测(FUD)powershell后门。攻击始于带有恶意文档Apply Form.docm的电子邮件。该恶意文档于2022年8月25日从约旦上传，可安装并执行updater.vbs脚本，来创建一个计划任务冒充常规的Windows更新。VBS脚本执行两个PowerShell脚本Script.ps1和Temp.ps1，它们在VirusTotal上均未被检测为恶意脚本。Script.ps1会连接到攻击者C2，Temp.ps1解码响应中的命令。